機械翻訳について
  1. パッチ適用ガイド
  2. パッチ適用のための環境の構成
  3. アプライアンスのアップストリームULNミラーの設定

アプライアンスのアップストリームULNミラーの設定

設計上、コンピュート・ノードにはアプライアンスの外部からアクセスできません。 Private Cloud Applianceは、データ・センター内のローカル・ミラーをアップストリームULNミラーとして使用します。 アプライアンスの内部共有ストレージにある内部リポジトリがアップストリーム・ミラーと同期され、必要なパッケージへのコンピュート・ノード・アクセスが可能になります。

「サービスCLI」の使用

  1. 管理ノード・クラスタを構成して、ローカルULNミラーと同期し、パッケージの更新を受信します。 setUpstreamUlnMirrorコマンドを使用して、データ・センター・ミラー・サーバーの「完全修飾ドメイン名」を設定します。

    注意:

    データ・センター・ミラー・サーバーを参照するには、システムIPアドレスではなく、完全修飾ドメイン名を使用する必要があります。

    PCA-ADMIN> setUpstreamUlnMirror ulnMirrorLocation=http://host.example.com/yum
Data: 
  upstream channels are set UpstreamMirror status = success

  2. よりセキュアな接続を構成するには、「HTTPSを使用したULNミラー・サーバーへの到達」を参照してください。

  3. 内部アプライアンス・リポジトリと同期するための追加のチャネルを設定するには、addUpstreamUlnChannelコマンドを使用します。 これにより、チャネルがローカルyumリポジトリ構成に追加されます。

    ノート:

    このステップは、Oracle Container Engine for Kubernetes (OKE)のレジストリを設定するために必要です。 ただし、ホストへのパッチ適用の最後に自動的に実行されます。 

    PCA-ADMIN> addUpstreamUlnChannel ulnMirrorLocation=http://host.example.com/yum channel=pca302_x86_64_regionregistry

    同期化されたチャネルの構成を解除するには、removeUpstreamUlnChannelコマンドを使用します。

「サービスWeb UI」の使用

ノート:

このUI関数は、ソフトウェア・バージョン3.0.2-b925538以降で使用できます。

アップストリームULNミラーを次のように設定します:

  1. ナビゲーション・メニューで、「メンテナンス」をクリックし、「ULNミラー」を選択します。

  2. 「ULNミラー」ページの右上隅にある「ULNミラーの設定」をクリックします。

    ULN Mirrorウィンドウが表示されます。

  3. パラメータを入力します:

    • ULNミラー: データ・センター内のULNミラーの完全修飾ドメイン名。

    • プロキシ: データセンターがインターネット・アクセスの仲介者としてプロキシ・サーバーを使用している場合は、ここでそのサーバーを指定します。

  4. ULNミラーの設定をクリックします。

    ULNミラーが設定されます。

HTTPSを使用したULNミラー・サーバーへの到達

HTTPSを使用してULNミラーに接続するには、ULNミラー・サーバーのTLS信頼情報をアプライアンスに追加します。 アプライアンスに追加するTLS信頼情報には、CAチェーンまたはX.509サーバー証明書のみを含める必要があります。アプライアンスの信頼情報にキーを含めることはできません。

  • サーバー証明書が商用認証局によって署名されている場合は、何もアプライアンスに追加しないでください。 この手順をスキップします。

  • サーバー証明書が非商用認証局によって署名されている場合、アプライアンスに追加するTLS信頼情報は、非商用CAチェーン・ファイル(PEMまたはCRT形式)です。

  • サーバー証明書が自己署名の場合、アプライアンスに追加するTLS信頼情報は、サーバー証明書のコピー(PEM形式)です。

証明書の有効期限など、ULNミラー・サーバー上のX.509サーバー証明書が交換されるたびに、このプロセスを繰り返します。

  1. 最初の管理ノードで、次のディレクトリがまだ存在しない場合は作成します:

    /etc/pca3.0/vault/customer_ca/

  2. CAチェーンまたはX.509サーバー証明書を/etc/pca3.0/vault/customer_ca/ディレクトリにコピーします。

    ULNサーバー証明書が自己署名でない場合は、CAチェーンをコピーします。 ULNサーバー証明書が自己署名(サブジェクト・キー識別子が権限キー識別子と同じ)の場合は、サーバー証明書をコピーします。

  3. 次のコマンドを実行します。

    python3 /usr/lib/python3.6/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns

    結果として生成されるTLS信頼/証明書バンドルは、各管理ノードの次のディレクトリにあります:

    /etc/pca3.0/vault/certs/ca_outside_bundle.crt